6. ダイナミックVPN設定
6.1. ダイナミックVPN
ダイナミックVPNによる動的なVPN接続を行う設定例です。
BGPを使用します。
6.1.1. 設定
6.1.1.1. 本装置(A)の設定
Router# configure
Router(config)# ikev2 authentication psk id ipv4 198.51.100.254 key char dmvpn-key
Router(config)# route-map set-nexthop permit 10
Router(config-route-map-set-nexthop-10)# set ip next-hop 198.51.100.254
Router(config-route-map-set-nexthop-10)# exit
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-a@example.com
Router(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
Router(config-ppp-ppp-profile)# exit
Router(config)# router bgp 65500
Router(config-bgp)# address-family ipv4 unicast
Router(config-bgp-af4)# network 192.168.0.0/24
Router(config-bgp-af4)# exit
Router(config-bgp)# peer-group dmvpn-group remote-as 65500
Router(config-bgp-dmvpn-group)# listen range 198.51.100.0/24
Router(config-bgp-dmvpn-group)# route-reflector-client
Router(config-bgp-dmvpn-group)# address-family ipv4 route-map set-nexthop out
Router(config-bgp-dmvpn-group)# exit
Router(config-bgp)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode mgre ipsec-ikev2
Router(config-Tunnel0.0)# ip address 198.51.100.254/24
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ikev2 local-authentication psk id ipv4 198.51.100.254
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer any authentication psk
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
6.1.1.2. 本装置(B)の設定
Router# configure
Router(config)# nhrp local GigaEthernet2.0
Router(config)# ikev2 authentication psk id ipv4 198.51.100.1 key char dmvpn-key
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-b@example.com
Router(config-ppp-ppp-profile)# authentication password user-b@example.com ppp-password-b
Router(config-ppp-ppp-profile)# exit
Router(config)# router bgp 65500
Router(config-bgp)# neighbor 198.51.100.254 remote-as 65500
Router(config-bgp)# address-family ipv4 unicast
Router(config-bgp-af4)# network 192.168.1.0/24
Router(config-bgp-af4)# exit
Router(config-bgp)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode mgre ipsec-ikev2
Router(config-Tunnel0.0)# ip address 198.51.100.1/24
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# nhrp nhs 198.51.100.254/24 nbma 203.0.113.1
Router(config-Tunnel0.0)# ikev2 local-authentication psk id ipv4 198.51.100.1
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer any authentication psk
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
6.1.1.3. 本装置(C)の設定
Router# configure
Router(config)# nhrp local GigaEthernet2.0
Router(config)# ikev2 authentication psk id ipv4 198.51.100.2 key char dmvpn-key
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-c@example.com
Router(config-ppp-ppp-profile)# authentication password user-c@example.com ppp-password-c
Router(config-ppp-ppp-profile)# exit
Router(config)# router bgp 65500
Router(config-bgp)# neighbor 198.51.100.254 remote-as 65500
Router(config-bgp)# address-family ipv4 unicast
Router(config-bgp-af4)# network 192.168.2.0/24
Router(config-bgp-af4)# exit
Router(config-bgp)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.2.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode mgre ipsec-ikev2
Router(config-Tunnel0.0)# ip address 198.51.100.2/24
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# nhrp nhs 198.51.100.254/24 nbma 203.0.113.1
Router(config-Tunnel0.0)# ikev2 local-authentication psk id ipv4 198.51.100.2
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer any authentication psk
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
6.1.2. 解説
6.1.2.1. 本装置(A)の解説
route-map set-nexthop permit 10
set ip next-hop 198.51.100.254
router bgp 65500
peer-group dmvpn-group remote-as 65500
address-family ipv4 route-map set-nexthop out
ルートマップ
set-nexthop を作成し、ネクストホップをセンターのトンネルインタフェースのIPアドレスに設定します。センタールーターがネクストホップとなるように設定します。
router bgp 65500
address-family ipv4 unicast
network 192.168.0.0/24
BGP4を起動します。
値 :
65500 はAS番号です。アドレスファミリーモード内で自装置が所持している経路情報を広告します。
router bgp 65500
peer-group dmvpn-group remote-as 65500
listen range 198.51.100.0/24
センタールーターは事前には各拠点のIPアドレスがわからないため、BGPピアグループを使用します。
トンネルインタフェースに設定したネットワークアドレスの範囲を動的ピア接続設定します。
router bgp 65500
peer-group dmvpn-group remote-as 65500
route-reflector-client
ダイナミックVPNでは拠点間のBGPピア接続設定を行わないため、ルートリフレクター機能を有効化します。
ikev2 authentication psk id ipv4 198.51.100.254 key char dmvpn-key
IKEv2の認証情報の設定です。
認証方式に事前共有鍵を指定し、自装置のIDと鍵を設定します。
IDはトンネルインタフェースに設定したIPアドレスを指定します。
ダイナミックVPNでは同じVPNグループに所属する装置に対して同一の事前共有鍵を設定する必要があります。
interface Tunnel0.0
tunnel mode mgre ipsec-ikev2
ダイナミックVPNのトンネルモードは、マルチポイントGREのIPsec IKEv2に設定します。
interface Tunnel0.0
ikev2 local-authentication psk id ipv4 198.51.100.254
IKEv2の自装置情報の設定です。
IDはトンネルインタフェースに設定したIPアドレスを指定します。
interface Tunnel0.0
ikev2 ipsec-mode transport
ダイナミックVPNではトランスポートモードを使用します。
interface Tunnel0.0
ikev2 peer any authentication psk
接続先登録の設定です。
ダイナミックVPNでは1つのトンネルインタフェースで複数の拠点とVPN接続を行うため、接続先はanyと指定します。
6.1.2.2. 本装置(B)の解説
nhrp local GigaEthernet2.0
拠点間のVPN接続時に、LAN側として動作させるインタフェースを指定します。
interface Tunnel0.0
nhrp nhs 198.51.100.254/24 nbma 203.0.113.1
ネクストホップサーバーの設定です。
センタールーターのトンネルインタフェースのIPアドレスとWAN側インタフェースのIPアドレスを設定します。
6.1.2.3. 本装置(C)の解説
本装置(B)と同様の考え方で設定します。
6.2. ダイナミックVPNの冗長構成(センタールーターの冗長化)
ダイナミックVPNのセンタールーターを冗長化する設定例です。
6.2.1. 設定
6.2.1.1. 本装置(A)の設定
Router# configure
Router(config)# vrrp enable
Router(config)# ikev2 authentication psk id ipv4 198.51.100.254 key char dmvpn-key-a
Router(config)# route-map set-nexthop permit 10
Router(config-route-map-set-nexthop-10)# set ip next-hop 198.51.100.254
Router(config-route-map-set-nexthop-10)# exit
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-a@example.com
Router(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
Router(config-ppp-ppp-profile)# exit
Router(config)# router bgp 65500
Router(config-bgp)# cluster-id 1000
Router(config-bgp)# address-family ipv4 unicast
Router(config-bgp-af4)# originate-default always
Router(config-bgp-af4)# redistribute-internal
Router(config-bgp-af4)# exit
Router(config-bgp)# peer-group dmvpn-group remote-as 65500
Router(config-bgp-dmvpn-group)# listen range 198.51.100.0/24
Router(config-bgp-dmvpn-group)# route-reflector-client
Router(config-bgp-dmvpn-group)# address-family ipv4 route-map set-nexthop out
Router(config-bgp-dmvpn-group)# exit
Router(config-bgp)# exit
Router(config)# ip router ospf 10
Router(config-ospfv2-10)# distance external 250
Router(config-ospfv2-10)# redistribute bgp 65500
Router(config-ospfv2-10)# router-id 200.0.0.1
Router(config-ospfv2-10)# network GigaEthernet1.0 area 0
Router(config-ospfv2-10)# exit
Router(config)# interface GigaEthernet1.0
Router(config-GigaEthernet1.0)# ip address 172.16.0.1/30
Router(config-GigaEthernet1.0)# no shutdown
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# vrrp 10 ip 192.168.0.200
Router(config-GigaEthernet2.0)# vrrp 10 priority 110
Router(config-GigaEthernet2.0)# vrrp 10 ip virtual-host
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode mgre ipsec-ikev2
Router(config-Tunnel0.0)# ip address 198.51.100.254/24
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ikev2 local-authentication psk id ipv4 198.51.100.254
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer any authentication psk
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
6.2.1.2. 本装置(B)の設定
Router# configure
Router(config)# vrrp enable
Router(config)# ikev2 authentication psk id ipv4 198.51.200.254 key char dmvpn-key-b
Router(config)# route-map set-nexthop permit 10
Router(config-route-map-set-nexthop-10)# set ip next-hop 198.51.200.254
Router(config-route-map-set-nexthop-10)# exit
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-b@example.com
Router(config-ppp-ppp-profile)# authentication password user-b@example.com ppp-password-b
Router(config-ppp-ppp-profile)# exit
Router(config)# router bgp 65500
Router(config-bgp)# cluster-id 1000
Router(config-bgp)# address-family ipv4 unicast
Router(config-bgp-af4)# originate-default always
Router(config-bgp-af4)# redistribute-internal
Router(config-bgp-af4)# exit
Router(config-bgp)# peer-group dmvpn-group remote-as 65500
Router(config-bgp-dmvpn-group)# listen range 198.51.200.0/24
Router(config-bgp-dmvpn-group)# route-reflector-client
Router(config-bgp-dmvpn-group)# address-family ipv4 route-map set-nexthop out
Router(config-bgp-dmvpn-group)# exit
Router(config-bgp)# exit
Router(config)# ip router ospf 10
Router(config-ospfv2-10)# distance external 250
Router(config-ospfv2-10)# redistribute bgp 65500
Router(config-ospfv2-10)# router-id 200.0.0.2
Router(config-ospfv2-10)# network GigaEthernet1.0 area 0
Router(config-ospfv2-10)# exit
Router(config)# interface GigaEthernet1.0
Router(config-GigaEthernet1.0)# ip address 172.16.0.2/30
Router(config-GigaEthernet1.0)# no shutdown
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.253/24
Router(config-GigaEthernet2.0)# vrrp 10 ip 192.168.0.200
Router(config-GigaEthernet2.0)# vrrp 10 ip virtual-host
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 203.0.113.2/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode mgre ipsec-ikev2
Router(config-Tunnel0.0)# ip address 198.51.200.254/24
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ikev2 local-authentication psk id ipv4 198.51.200.254
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer any authentication psk
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
6.2.1.3. 本装置(C)の設定
Router# configure
Router(config)# nhrp local GigaEthernet2.0
Router(config)# ikev2 authentication psk id ipv4 198.51.100.1 key char dmvpn-key-a
Router(config)# ikev2 authentication psk id ipv4 198.51.200.1 key char dmvpn-key-b
Router(config)# route-map set-local-preference permit 10
Router(config-route-map-rmap-10)# set local-preference 50
Router(config-route-map-rmap-10)# exit
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-c@example.com
Router(config-ppp-ppp-profile)# authentication password user-c@example.com ppp-password-c
Router(config-ppp-ppp-profile)# exit
Router(config)# router bgp 65500
Router(config-bgp)# neighbor 198.51.100.254 remote-as 65500
Router(config-bgp)# neighbor 198.51.200.254 remote-as 65500
Router(config-bgp)# address-family ipv4 unicast
Router(config-bgp-af4)# neighbor 198.51.200.254 route-map set-local-preference in
Router(config-bgp-af4)# network 192.168.1.0/24
Router(config-bgp-af4)# exit
Router(config-bgp)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode mgre ipsec-ikev2
Router(config-Tunnel0.0)# ip address 198.51.100.1/24
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# nhrp nhs 198.51.100.254/24 nbma 203.0.113.1
Router(config-Tunnel0.0)# ikev2 local-authentication psk id ipv4 198.51.100.1
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer any authentication psk
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)# interface Tunnel1.0
Router(config-Tunnel1.0)# tunnel mode mgre ipsec-ikev2
Router(config-Tunnel1.0)# ip address 198.51.200.1/24
Router(config-Tunnel1.0)# ip tcp adjust-mss auto
Router(config-Tunnel1.0)# nhrp nhs 198.51.200.254/24 nbma 203.0.113.2
Router(config-Tunnel1.0)# ikev2 local-authentication psk id ipv4 198.51.200.1
Router(config-Tunnel1.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel1.0)# ikev2 ipsec-mode transport
Router(config-Tunnel1.0)# ikev2 peer any authentication psk
Router(config-Tunnel1.0)# no shutdown
Router(config-Tunnel1.0)# exit
Router(config)#
6.2.1.4. 本装置(D)の設定
Router# configure
Router(config)# nhrp local GigaEthernet2.0
Router(config)# ikev2 authentication psk id ipv4 198.51.100.2 key char dmvpn-key-a
Router(config)# ikev2 authentication psk id ipv4 198.51.200.2 key char dmvpn-key-b
Router(config)# route-map set-local-preference permit 10
Router(config-route-map-rmap-10)# set local-preference 50
Router(config-route-map-rmap-10)# exit
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-d@example.com
Router(config-ppp-ppp-profile)# authentication password user-d@example.com ppp-password-d
Router(config-ppp-ppp-profile)# exit
Router(config)# router bgp 65500
Router(config-bgp)# neighbor 198.51.100.254 remote-as 65500
Router(config-bgp)# neighbor 198.51.200.254 remote-as 65500
Router(config-bgp)# address-family ipv4 unicast
Router(config-bgp-af4)# neighbor 198.51.200.254 route-map set-local-preference in
Router(config-bgp-af4)# network 192.168.2.0/24
Router(config-bgp-af4)# exit
Router(config-bgp)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.2.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode mgre ipsec-ikev2
Router(config-Tunnel0.0)# ip address 198.51.100.2/24
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# nhrp nhs 198.51.100.254/24 nbma 203.0.113.1
Router(config-Tunnel0.0)# ikev2 local-authentication psk id ipv4 198.51.100.2
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer any authentication psk
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)# interface Tunnel1.0
Router(config-Tunnel1.0)# tunnel mode mgre ipsec-ikev2
Router(config-Tunnel1.0)# ip address 198.51.200.2/24
Router(config-Tunnel1.0)# ip tcp adjust-mss auto
Router(config-Tunnel1.0)# nhrp nhs 198.51.200.254/24 nbma 203.0.113.2
Router(config-Tunnel1.0)# ikev2 local-authentication psk id ipv4 198.51.200.2
Router(config-Tunnel1.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel1.0)# ikev2 ipsec-mode transport
Router(config-Tunnel1.0)# ikev2 peer any authentication psk
Router(config-Tunnel1.0)# no shutdown
Router(config-Tunnel1.0)# exit
Router(config)#
6.2.2. 解説
6.2.2.1. 本装置(A)の解説
route-map set-nexthop permit 10
set ip next-hop 198.51.100.254
router bgp 65500
peer-group dmvpn-group remote-as 65500
address-family ipv4 route-map set-nexthop out
ルートマップ
set-nexthop を作成し、ネクストホップをセンターのトンネルインタフェースのIPアドレスに設定します。センタールーターがネクストホップとなるように設定します。
router bgp 65500
cluster-id 1000
BGP4を起動します。
値 :
65500 はAS番号です。ルートリフレクターのクラスターIDの設定です。
本装置(B)と同一のクラスターIDを設定することにより、一方のルートリフレクターがダウンしても別のルートリフレクターが各BGPルーターへ経路を配信します。
router bgp 65500
address-family ipv4 unicast
originate-default always
redistribute-internal
デフォルトルートをBGP4で配信します。
iBGPピアから学習した経路をIGPに再配信します。
router bgp 65500
peer-group dmvpn-group remote-as 65500
listen range 198.51.100.0/24
センタールーターは事前には各拠点のIPアドレスがわからないため、BGPピアグループを使用します。
トンネルインタフェースに設定したネットワークアドレスの範囲を動的ピア接続設定します。
router bgp 65500
peer-group dmvpn-group remote-as 65500
route-reflector-client
ダイナミックVPNでは拠点間のBGPピア接続設定を行わないため、ルートリフレクター機能を有効化します。
ip router ospf 10
distance external 250
redistribute bgp 65500
router-id 200.0.0.1
network GigaEthernet1.0 area 0
本装置(A)と本装置(B)の間でOSPFを起動し、BGP4で取得した本装置(C)(D)向けの経路情報をお互いに配信します。
OSPFのディスタンス値をBGP4 よりも大きな値にすることで、正常時はBGP4で取得した経路情報が優先されます。
本装置(A)のWAN回線で障害が発生した場合、本装置(A)は本装置(C)(D)の経路情報をBGP4で受信できなくなるため、本装置(B)からOSPFで受信した経路情報をもとに、本装置(B)を経由して本装置(C)(D)と通信を継続します。
ikev2 authentication psk id ipv4 198.51.100.254 key char dmvpn-key-a
IKEv2の認証情報の設定です。
認証方式に事前共有鍵を指定し、自装置のIDと鍵を設定します。
IDはトンネルインタフェースに設定したIPアドレスを指定します。
ダイナミックVPNでは同じVPNグループに所属する装置に対して同一の事前共有鍵を設定する必要があります。
interface Tunnel0.0
tunnel mode mgre ipsec-ikev2
ダイナミックVPNのトンネルモードは、マルチポイントGREのIPsec IKEv2に設定します。
interface Tunnel0.0
ikev2 local-authentication psk id ipv4 198.51.100.254
IKEv2の自装置情報の設定です。
IDはトンネルインタフェースに設定したIPアドレスを指定します。
interface Tunnel0.0
ikev2 ipsec-mode transport
ダイナミックVPNではトランスポートモードを使用します。
interface Tunnel0.0
ikev2 peer any authentication psk
接続先登録の設定です。
ダイナミックVPNでは1つのトンネルインタフェースで複数の拠点とVPN接続を行うため、接続先はanyと指定します。
6.2.2.2. 本装置(B)の解説
本装置(A)と同様の考え方で設定します。
6.2.2.3. 本装置(C)の解説
nhrp local GigaEthernet2.0
拠点間のVPN接続時に、LAN側として動作させるインタフェースを指定します。
route-map set-local-preference permit 10
set local-preference 50
ルートマップ : set-local-preference を作成し、ローカルプリファレンス値 : 50 に設定します。
router bgp 65500
neighbor 198.51.100.254 remote-as 65500
neighbor 198.51.200.254 remote-as 65500
隣接ルーターのIPアドレスおよび所属するAS番号を設定します。
router bgp 65500
address-family ipv4 unicast
neighbor 198.51.200.254 route-map set-local-preference in
network 192.168.1.0/24
アドレスファミリーモード内で自装置が所持している経路情報を広告します。
interface Tunnel0.0
nhrp nhs 198.51.100.254/24 nbma 203.0.113.1
interface Tunnel1.0
nhrp nhs 198.51.200.254/24 nbma 203.0.113.2
ネクストホップサーバーの設定です。
本装置(A)のトンネルインタフェースのIPアドレスとWAN側インタフェースのIPアドレスを設定します。
6.2.2.4. 本装置(D)の解説
本装置(C)と同様の考え方で設定します。
6.3. スタティックルートを使用したダイナミックVPN
スタティックルートを使用したダイナミックVPNの設定例です。
BGPの接続対地数を超える場合はスタティックルートでダイナミックVPN接続ができます。
6.3.1. 設定
6.3.1.1. 本装置(A)の設定
Router# configure
Router(config)# ip route 192.168.1.0/24 198.51.100.1 Tunnel0.0
Router(config)# ip route 192.168.2.0/24 198.51.100.2 Tunnel0.0
Router(config)# ikev2 authentication psk id ipv4 198.51.100.254 key char dmvpn-key
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-a@example.com
Router(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode mgre ipsec-ikev2
Router(config-Tunnel0.0)# ip address 198.51.100.254/24
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ikev2 local-authentication psk id ipv4 198.51.100.254
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer any authentication psk
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
6.3.1.2. 本装置(B)の設定
Router# configure
Router(config)# ip route default 198.51.100.254 Tunnel0.0
Router(config)# nhrp local GigaEthernet2.0
Router(config)# ikev2 authentication psk id ipv4 198.51.100.1 key char dmvpn-key
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-b@example.com
Router(config-ppp-ppp-profile)# authentication password user-b@example.com ppp-password-b
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode mgre ipsec-ikev2
Router(config-Tunnel0.0)# ip address 198.51.100.1/24
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# nhrp nhs 198.51.100.254/24 nbma 203.0.113.1
Router(config-Tunnel0.0)# ikev2 local-authentication psk id ipv4 198.51.100.1
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer any authentication psk
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
6.3.1.3. 本装置(C)の設定
Router# configure
Router(config)# ip route default 198.51.100.254 Tunnel0.0
Router(config)# nhrp local GigaEthernet2.0
Router(config)# ikev2 authentication psk id ipv4 198.51.100.2 key char dmvpn-key
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-c@example.com
Router(config-ppp-ppp-profile)# authentication password user-c@example.com ppp-password-c
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.2.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode mgre ipsec-ikev2
Router(config-Tunnel0.0)# ip address 198.51.100.2/24
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# nhrp nhs 198.51.100.254/24 nbma 203.0.113.1
Router(config-Tunnel0.0)# ikev2 local-authentication psk id ipv4 198.51.100.2
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer any authentication psk
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
6.3.2. 解説
6.3.2.1. 本装置(A)の解説
ip route 192.168.1.0/24 198.51.100.1 Tunnel0.0
ip route 192.168.2.0/24 198.51.100.2 Tunnel0.0
IPsec接続先を対向装置のIPアドレスを指定したトンネルインタフェースに設定します。
ikev2 authentication psk id ipv4 198.51.100.254 key char dmvpn-key-a
IKEv2の認証情報の設定です。
認証方式に事前共有鍵を指定し、自装置のIDと鍵を設定します。
IDはトンネルインタフェースに設定したIPアドレスを指定します。
ダイナミックVPNでは同じVPNグループに所属する装置に対して同一の事前共有鍵を設定する必要があります。
interface Tunnel0.0
tunnel mode mgre ipsec-ikev2
ダイナミックVPNのトンネルモードは、マルチポイントGREのIPsec IKEv2に設定します。
interface Tunnel0.0
ikev2 local-authentication psk id ipv4 198.51.100.254
IKEv2の自装置情報の設定です。
IDはトンネルインタフェースに設定したIPアドレスを指定します。
interface Tunnel0.0
ikev2 ipsec-mode transport
ダイナミックVPNではトランスポートモードを使用します。
interface Tunnel0.0
ikev2 peer any authentication psk
接続先登録の設定です。
ダイナミックVPNでは1つのトンネルインタフェースで複数の拠点とVPN接続を行うため、接続先はanyと指定します。
6.3.2.2. 本装置(B)の解説
nhrp local GigaEthernet2.0
拠点間のVPN接続時に、LAN側として動作させるインタフェースを指定します。
interface Tunnel0.0
nhrp nhs 198.51.100.254/24 nbma 203.0.113.1
ネクストホップサーバーの設定です。
本装置(A)のトンネルインタフェースのIPアドレスとWAN側インタフェースのIPアドレスを設定します。
6.3.2.3. 本装置(C)の解説
本装置(B)と同様の考え方で設定します。